IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Algorithmes et structures de données Discussion :

comportement de l'algorithme SSHA


Sujet :

Algorithmes et structures de données

  1. #1
    Nouveau membre du Club
    Homme Profil pro
    Enseignant
    Inscrit en
    Mai 2007
    Messages
    33
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Mai 2007
    Messages : 33
    Points : 30
    Points
    30
    Par défaut comportement de l'algorithme SSHA
    Bonjour à tous,

    je ne sais pas si je suis dans le bon forum mais c'est ce qui me parait le plus approprié.
    Dans le cas de SSHA (algorithme de cryptage) : normalement la génération d'une empreinte est différente pour une même valeur en entrée avec cette technique. Du coup je voulais savoir comment on faisait pour vérifier que le mot de passe d'une personne (par exemple) était bon puisque, si on le passe par SSHA on n'a pas la même empreinte... Y a-t-il une clef qui permet de retrouver le mot de passe de départ ?

    Merci d'avance.

    Bode

  2. #2
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    Décembre 2006
    Messages
    10 062
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : Décembre 2006
    Messages : 10 062
    Points : 16 084
    Points
    16 084
    Par défaut
    Citation Envoyé par KalKul Voir le message
    Dans le cas de SSHA (algorithme de cryptage) : normalement la génération d'une empreinte est différente pour une même valeur en entrée avec cette technique.
    ??? Heu non... meme password + meme seed => meme hash

    Du coup je voulais savoir comment on faisait pour vérifier que le mot de passe d'une personne (par exemple) était bon puisque, si on le passe par SSHA on n'a pas la même empreinte...
    Généralement on fait un challenge:
    - Serveur: genere une seed aléatoire et l'envoie au client.
    - Client: genere le hash pour (password+seed reçu) et l'envoie au serveur.
    - Serveur: genere le hash pour (password+seed envoyé) et compare avec le hash reçu

    Y a-t-il une clef qui permet de retrouver le mot de passe de départ ?
    Il faut esperer que non . (sauf cryptanalyse ou brute-force)

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    Enseignant
    Inscrit en
    Mai 2007
    Messages
    33
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Mai 2007
    Messages : 33
    Points : 30
    Points
    30
    Par défaut
    impeccable, ça m'éclaire déjà beaucoup.
    En fait je suis en train de regarder comment ldap fonctionne et il y a la possibilité de crypter les mots de passe grâce à SSHA. Sauf que lorsque j'utilise slappasswd pour en générer un il me donne des empreintes différentes à chaque fois ! Ben oui lais je ne connaissais pas. Et la, question...mais que se passe-t-il alors derrière pour que ça marche ça...?

    Bon maintenant j'ai une partie de ma réponse.

    Merci encore.

  4. #4
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    Décembre 2006
    Messages
    10 062
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : Décembre 2006
    Messages : 10 062
    Points : 16 084
    Points
    16 084
    Par défaut
    Citation Envoyé par KalKul Voir le message
    impeccable, ça m'éclaire déjà beaucoup.
    En fait je suis en train de regarder comment ldap fonctionne et il y a la possibilité de crypter les mots de passe grâce à SSHA. Sauf que lorsque j'utilise slappasswd pour en générer un il me donne des empreintes différentes à chaque fois ! Ben oui lais je ne connaissais pas. Et la, question...mais que se passe-t-il alors derrière pour que ça marche ça...?
    il y a des chances pour que ton empreinte ait une taille de 24 octets. Auquel cas les 20 premiers octets devraient être le hash et les 4 derniers la seed.

  5. #5
    Nouveau Candidat au Club
    Inscrit en
    Avril 2010
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : Avril 2010
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Challenge SSHA
    Bonjour,

    Désolé de déterrer un vieux sujet mais voilà les données de mon problème :
    - dans OpenLDAP, le mot de passe est stocké en SSHA
    - je souhaite faire circuler mon mot de passe de façon sécurisée, en l'envoyant encrypté également en SSHA depuis un client webmail par exemple

    Mes questions :
    - comment LDAP fait pour vérifier la validité du mot de passe compte-tenu du fait que la seed générée par le client est différente ?
    - est-il judicieux d'utiliser ce mode de fonctionnement ?

    Merci d'avance.

  6. #6
    Membre éclairé Avatar de seeme
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    430
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 430
    Points : 791
    Points
    791
    Par défaut
    Bonjour,

    Pour répondre rapidement à tes questions..

    Ce n'est pas le client qui choisis la seed, mais le serveur (challenge). Donc pas de problème.

    Cette méthode est tout à fait valable pour sécuriser les communications.

  7. #7
    Membre éprouvé
    Profil pro
    Inscrit en
    Février 2010
    Messages
    765
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2010
    Messages : 765
    Points : 1 037
    Points
    1 037
    Par défaut
    Attention, le mot de passe ne circule pas crypté, mais hashé avec un algorithme de hashage cryptographique ici SHA. Ce qui est une grosse nuance.
    Il faut aussi vérifié que l'on est au moins avec du SHA-256, car les versions SHA-0 et SHA-1 ont été cassées depuis quelques temps maintenant.

    Comme expliqué déjà, le client génére le hash+seed reçu du serveur et envoie le résultat au serveur. Le serveur compare le résultat reçu avec son propre résultat.


    - est-il judicieux d'utiliser ce mode de fonctionnement ?
    Oui car le mot de passe ne circule jamais même crypté. Seule une emprunte circule, on comprend facilement pourquoi.
    En imaginant que l'attaquant intercepte le seed et le hash retourné par le client, il doit recalculer toute sa table de force brute à chaque seed. Ce qui est irréalisable en un temps raisonnable.
    Les attaques sont possible sur des systèmes qui ne change pas de seed et qui utilise des algorithmes cassées comme MD5. Il est possible de fabrique des empruntes identique avec des messages différents. Donc cette emprunte n'est plus valide.

Discussions similaires

  1. algorithme comportant une fonction récursive
    Par TraxX dans le forum Algorithmes et structures de données
    Réponses: 4
    Dernier message: 21/02/2008, 17h09
  2. Algorithme de randomisation ... ( Hasard ...? )
    Par Anonymous dans le forum Assembleur
    Réponses: 8
    Dernier message: 06/09/2002, 15h25
  3. recherches des cours ou des explications sur les algorithmes
    Par Marcus2211 dans le forum Algorithmes et structures de données
    Réponses: 6
    Dernier message: 19/05/2002, 23h18
  4. Recherche de documentation complète en algorithmes
    Par Anonymous dans le forum Algorithmes et structures de données
    Réponses: 1
    Dernier message: 29/03/2002, 13h09
  5. Algorithme génétique
    Par Stephane.P_(dis Postef) dans le forum Algorithmes et structures de données
    Réponses: 2
    Dernier message: 15/03/2002, 18h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo